BD Alaris Gateway munkaállomás sérülékenység

BD Alaris Gateway munkaállomás sérülékenység
Angol cím: BD Alaris Gateway Workstation vulnerability

CH azonosító: CH-14603
Publikálás dátuma: 2019.06.13.
Utolsó módosítás dátuma: 2019.06.14.


Leírás

A BD Alaris Gateway munkaállomás sérülékenysége vált ismertté, amelynek kihasználásával a támadó tetszőleges kódot képes futtatni a  célkeresztben álló rendszeren.


Elemzés leírás

A sérülékenység kihasználása a munkaállomáson futó webböngésző nem megfelelő hozzáférés-ellenőrzésének, illetve a korlátlan fájl feltöltési lehetőségének köszönhető. A sérülékenység lehetővé teszi tetszőleges kód engedély nélküli futtatását, az eszköz állapotának és konfigurációs adatainak megtekintését és szerkesztését, valamint képes az eszközt elérhetetlenné tenni.

Érintett verziók:

Alaris Gateway munkaállomás webböngésző felhasználói felületének sérülékeny verziói:

  • 1.0.13
  • 1.1.3 Build 10
  • 1.1.3 MR Build 11
  • 1.1.5
  • 1.1.6

Alaris Gateway munkaállomás fájlfeltöltés sérülékeny verziói:

  • 1.1.3 Build 10
  • 1.1.3 MR Build 11
  • 1.1.5
  • 1.1.6

Megoldás:

Az eszköz firmware-nek frissítése újabb verzióra.

Elemzés leírás forrása: https://ics-cert.us-cert.gov/advisories/ICSMA-19-164-01 Elemzés leírás utolsó módosítása: 2019.06.14.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
Hatás pontszáma: 6.0
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):

Hivatkozások

CVE-2019-10959 - NVD CVE-2019-10959
CVE-2019-10962 - NVD CVE-2019-10962
https://ics-cert.us-cert.gov/advisories/ICSMA-19-164-01
https://www.bd.com/en-us/support/product-security-and-privacy/product-security-bulletins
https://nvd.nist.gov/vuln/detail/CVE-2019-10959
https://nvd.nist.gov/vuln/detail/CVE-2019-10962


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »